5.3.1 個人情報の取扱いに関する契約書

X株式会社(以下「甲」という。)およびY株式会社(以下「乙」という。)は、○○○○年○○月○○日付で締結済の「業務委託契約」(以下「業務委託契約」という。)に基づいて甲が乙へ委託する業務(以下「委託業務」という。)に関連して、個人データの取扱いを甲が乙に委託するにあたって、以下のとおり合意したので本契約書を締結する。

第1条(定義)

本契約書において、「個人情報」、「個人データ」、「本人」等の用語は「個人情報の保護に関する法律」(平成15年法律第57号)(以下「個人情報保護法」という。)による定義に従って用いられるものとする。

第2条(法令遵守)

乙は、個人情報保護法、関係法令、および主務大臣等が策定する指針・ガイドラインを遵守する。なお、乙は自己の事業分野に関する関係法令および自己の事業を所管する主務大臣等の策定する指針・ガイドラインに加えて、甲の事業分野に関する関係法令および甲の事業分野を所管する主務大臣等の策定する指針・ガイドラインについても遵守するものとする。

第3条(秘密保持)

1. 乙は、委託業務の履行にあたり知り得た個人情報を善良な管理者の注意をもって管理し、甲の事前の書面による承諾なしに第三者に対して開示または漏えいしてはならない。

2. 乙は、その従業者に対し、委託業務の履行にあたり知り得た個人情報を漏らし、または盗用してはならないことを教育・訓練により周知徹底し、当該従業者に対する必要かつ適切な監督を行う。

第4条(目的外取扱いの禁止)

乙は、委託業務の履行にあたり知り得た個人情報のうち、委託業務の履行の目的のために必要となるもの以外の個人情報を取り扱ってはならない。

第5条(安全管理措置)

1. 乙は、委託業務の履行にあたり取り扱う個人情報の漏えい、盗用、盗難、紛失、滅失、毀損の防止その他の個人情報の安全管理のために必要かつ適切な措置を講じなければならない。

2. 乙は、委託業務の履行にあたり取り扱う個人情報を業務委託契約の範囲内でのみ加工又は利用するものとする。

3. 乙は、業務委託契約で認められている場合を除いて、委託業務の履行にあたり取り扱う個人情報を甲の事前の書面による承諾なしに複写または複製してはならない。

4. 乙は、委託業務の履行にあたり取り扱う個人情報を情報システム内で保管し、当該個人情報へのアクセスを委託業務の履行に必要最小限の従業員に限って認めるものとする。乙はアクセス権限を有しない者が、当該個人情報へアクセスすることができないよう適切な措置を講じる。

第6条(委託業務完了時の義務)

1. 乙は、業務委託契約に基づく委託業務が完了したとき、または業務委託契約が終了したときは、ただちに委託業務に関連して取得した個人情報の記録媒体を甲へ引き渡すものとする。

2. 乙は、前項による引渡しの完了後ただちに委託業務に関連して取得した個人情報を格納した記録媒体およびその写し(バックアップ等の複製物を含む。)をすべて消去または廃棄し、かかる消去または廃棄が完了した旨の証明書を甲に提出しなければならない。

第7条(再委託の禁止)

1. 乙は、委託業務のうち個人データの取扱いを含む業務については、甲の事前の書面による承諾なしに第三者に委託してはならない。

2. 乙は、委託業務のうち個人データの取扱いを含む業務を第三者へ委託することを希望する場合には、個人情報を適正に取り扱っていると認められる者を選定し、当該第三者に関する情報(名称、本店所在地、事業内容、事業規模、個人データの取扱実績など)、選定理由、再委託する業務の内容を書面により甲に通知し、甲の事前の書面による承諾を得なければならない。

3. 甲の事前の書面による承諾を得て個人データの取扱いの全部または一部を第三者に委託する場合には、乙は、個人データの取扱いに関して当該第三者(以下「再委託先」という。)との間で本契約書に記載された条件と同等の内容の契約を締結するものとする。

4. 再委託先が、甲が乙へ取扱いを委託した個人データを漏えい、盗用するなど本契約書に記載された条件に違反した場合には、再委託先の行為を乙の行為とみなし、乙が本契約に違反したものとして、甲に対して責任を負うものとする。

第8条(個人情報管理責任者)

1. 甲および乙は、それぞれ委託業務に関連する個人情報の取扱いに関する連絡、確認を行う個人情報管理責任者をあらかじめ定めた書面をもって相手方に通知する。

2. 甲および乙は、委託業務に関連する個人情報の取扱いに関する連絡、確認等は原則として個人情報管理責任者を通じて行うものとする。

3. 甲および乙は、個人情報管理責任者を変更する場合は、事前に書面をもって相手方に通知する。ただし、事前に通知することができなかった場合は、変更後遅滞なく書面をもって相手方に通知する。

第9条(個人情報の取扱状況に関する報告)

乙は、委託業務の履行にあたり取り扱う個人情報の保管、処理および消去・廃棄について、作業場所、作業監督責任者、バックアップデータの管理方法・保管期間、個人データの移送・通信方法、消去・廃棄手続きなどの取扱状況を委託業務の開始に先立って甲に報告するものとする。乙は業務委託契約の有効期間中、毎月一度の頻度で甲に個人情報の取扱状況を報告するものとする。

第10条(監査)

1. 甲は、乙による本契約の遵守状況を確認するために、乙に対し、いつでも乙および再委託先における個人情報の取扱状況について報告書その他の資料の提出を求めることができるものとし、乙はこれに協力する。

2. 甲は、前項の報告書その他の資料からでは本契約の遵守状況について十分な確認ができないと判断した場合には、業務委託契約の有効期間中、乙の施設に立ち入り、乙の情報セキュリティに関する管理体制を随時監査できるものとする。

3. 前項による監査の結果、乙または再委託先における個人情報の取扱状況に関して本契約の条件が遵守されていないと甲が書面にて指摘した事項について、乙はかかる書面の受領後○○週間以内に改善計画を策定して甲に提出するものとする。

第11条(事件・事故発生時の通知義務)

1. 乙は、その取り扱う個人情報の漏えい、盗難、紛失、滅失、毀損その他の事件、事故の発生を知ったとき、または個人情報の漏えい、盗難、紛失が発生したおそれがあると判断したときは、事件・事故発生の原因のいかんに関わらず、ただちにその旨を甲に報告しなければならない。

2. 前項の場合には、乙は、速やかに必要な応急措置を加えたのち、遅滞なく書面によって詳細な報告および対応策を甲に提示しなければならない。乙は、甲が当該書面その他の報告内容を公表し、または影響を受ける可能性のある本人、甲の事業を所管する主務大臣その他の関係者に報告することを、あらかじめ承諾する。

3. 第1項の場合には、甲は、前項の書面の提出の前後にかかわらず、乙に対し、事件・事故の収束のために必要な対応を指示することができ、乙は、自己の費用をもって、ただちに当該指示に従った対応を行う。

第12条(契約違反の場合の措置)

1. 乙が本契約の定めに違反した場合、甲は何らの催告手続きを要することなく書面による通知により、業務委託契約を解除することができる。

2. 乙が本契約に違反したことにより甲が損害を被ったときは、乙は甲が被った損害(合理的な弁護士費用を含む。)のすべてを賠償するものとする。

第13条(紛争解決)

本契約書から生じたまたはこれに関連する当事者間の紛争については、○○地方裁判所を第一審の専属管轄裁判所とする。

第14条(存続)

1. 本契約は末尾記載の日より効力を発生し、業務委託契約の終了日まで存続する。

2. 前項の規定に関わらず、業務委託契約が効力を失った後も、本契約の第3条(秘密保持)、第4条(目的外取扱いの禁止)、第6条(委託業務完了時の義務)、第11条(事件・事故発生時の通知義務)および第12条(契約違反の場合の措置)は引き続き効力を有するものとする。

以上、本契約書締結の証として、本書2通を作成し、各自署名又は記名押印の上、各1通を保有する。

平成 年 月 日

(甲)

(乙)